Компания Unit221b, работающая в области обеспечения кибербезопасности, опубликовала информацию об уязвимости, содержащейся в коде известного вымогательского ПО Zeppelin. Это событие примечательно тем, что уязвимость была выявлена экспертами Unit221b еще в феврале 2020 года, а сообщение о ней опубликовано лишь сейчас. Как выясняется, сотрудники компании были возмущены атаками вымогателей Zeppelin на благотворительные организации и решили найти способ заступиться за жертв.
Выявить уязвимости Zeppelin им помог аналитический отчет компании Blackberry Cylance, детально изучившей зловред в декабре 2019 года. Обнаружив слабые места в коде, специалисты Unit221b сосредоточились на поиске возможностей их эксплуатации. Задача оказалась нелегкой: так, на финальном этапе, чтобы взломать примененный киберпреступниками слой шифрования RSA-2048, были задействованы 800 центральных процессоров на 20 серверах, каждый из которых обрабатывал небольшую часть кода. Однако усилия того стоили: в результате 6 часов этой работы исследователи смогли извлечь ключ дешифровки.
Далее, на протяжении более чем двух с половиной лет компания тайно связывалась с жертвами атак Zeppelin и полностью восстанавливала их данные, лишая хакеров ожидаемого «гонорара». По словам основателя Unit221b Лэнса Джеймса, информация об уязвимости не предавалась огласке, чтобы хакеры не узнали о ней и не попытались исправить, а продолжали считать свой зловред надежным и эффективным. Теперь же сведения об уязвимости опубликованы, поскольку число атак Zeppelin в последние месяцы существенно снизилось.